As identidades de cargas de trabalho gerenciadas permitem vincular identidades confiáveis às cargas de trabalho do Google Kubernetes Engine (GKE) e do Compute Engine. Isso também inclui identidades de agente, que são projetadas para cargas de trabalho com agentes.
Google Cloud provisiona credenciais X.509 e âncoras de confiança emitidas pelo Certificate Authority Service. As credenciais e as âncoras de confiança podem ser usadas para autenticar de maneira confiável sua carga de trabalho com outras cargas de trabalho por autenticação TLS mútua (mTLS).
Os recursos a seguir estão disponíveis:
- Identidades de cargas de trabalho gerenciadas para o GKE (pré-visualização)
- Identidades de cargas de trabalho gerenciadas para o Compute Engine (pré-visualização)
- Solicitar acesso às identidades de cargas de trabalho gerenciadas para o Compute Engine (pré-visualização)
- Identidades de agente
Interoperabilidade do SPIFFE
Para ativar a interoperabilidade em ambientes dinâmicos e heterogêneos, as identidades de cargas de trabalho gerenciadas são baseadas no Secure Production Identity Framework for Everyone (SPIFFE). O SPIFFE define um framework e um conjunto de padrões para identificar, autenticar e proteger as comunicações entre cargas de trabalho. As cargas de trabalho do SPIFFE são identificadas por um ID exclusivo do SPIFFE. Em Google Cloud, um ID do SPIFFE tem os seguintes formatos:
Cargas de trabalho do Compute Engine:
spiffe://POOL_ID.global.PROJECT_NUMBER.workload.id.goog/ns/NAMESPACE_ID/sa/MANAGED_IDENTITY_IDCargas de trabalho do GKE:
spiffe://PROJECT_ID.svc.id.goog/ns/KUBERNETES_NAMESPACE/sa/KUBERNETES_SERVICE_ACCOUNTCargas de trabalho de identidade de agente:
spiffe://agents.global.org-ORGANIZATION_ID.system.id.goog/resources/aiplatform/projects/PROJECT_NUMBER/locations/LOCATION/reasoningEngines/AGENT_NAME
Hierarquia de recursos
Esta seção descreve os recursos de identidade de carga de trabalho gerenciada.
Pools de identidade da carga de trabalho
As identidades das cargas de trabalho gerenciadas são definidas em um pool de Identidade da carga de trabalho, que atua como um limite de confiança para todas as identidades no pool. O pool de identidade da carga de trabalho forma o componente de domínio de confiança do identificador SPIFFE da identidade da carga de trabalho gerenciada. Recomendamos a criação de um novo pool para cada ambiente lógico na sua organização, como desenvolvimento, preparo ou produção.
Namespaces
Em um pool de Identidade da carga de trabalho, as identidades de cargas de trabalho gerenciadas são organizadas em limites administrativos, chamados de namespaces. Namespaces ajudam a organizar e conceder acesso a identidades de carga de trabalho relacionadas.
Políticas de atestado
A identidade de carga de trabalho gerenciada para o Compute Engine exige que você configure políticas de atestado.
A identidade de carga de trabalho gerenciada para o GKE gerencia políticas de atestado para você.
As políticas de atestado de carga de trabalho permitem definir qual carga de trabalho pode receber uma credencial para uma identidade de carga de trabalho gerenciada com base nos atributos verificáveis dela, como o ID do projeto ou o nome do recurso. Uma política de atestação de carga de trabalho garante que apenas cargas confiáveis possam usar a identidade gerenciada.
A seguir
Configure a autenticação de identidade de carga de trabalho gerenciada para o Compute Engine.
Configure a autenticação de identidade de carga de trabalho gerenciada para o GKE.
Saiba mais sobre como usar identidades de cargas de trabalho gerenciadas com as cargas de trabalho do Compute Engine.
Saiba mais sobre como usar a identidade de agente com o Vertex AI Agent Engine.
Faça um teste
Se você começou a usar agora Google Cloud, crie uma conta para avaliar o desempenho de nossos produtos em cenários reais. Clientes novos também ganham US $300 em créditos para executar, testar e implantar cargas de trabalho.
Comece a usar sem custo financeiro